ЭЦП Рутокен

ЭЦП Рутокен Электронная цифровая подпись
На чтение 23 мин. Просмотров 249 Опубликовано
Содержание
  1. Основные преимущества фкн
  2. Основные моменты работы с «рутокеном эцп 2.0»
  3. На что обратить внимание при выборе носителя ключа эцп
  4. Covid-19 и росреестр
  5. Безопасность использования usb-токенов
  6. Возможные проблемы с эцп на «рутокене»
  7. Драйверы и инструкции рутокен ру
  8. Изменения в законодательстве
  9. Инструкция по настройке «рутокена»
  10. Как купить токен
  11. Как перенести контейнер на «рутокен»
  12. Как скопировать эцп на флешку
  13. Как установить сертификат эцп
  14. Какой токен выбрать для вашего бизнеса
  15. Картинки
  16. Копирование через «криптопро»
  17. Копирование эп из реестра
  18. Назначение
  19. Обновление росреестра по части проведения электронных сделок
  20. Ответственность пользователя
  21. Ответственность производителя
  22. Официальный сайт рутокен ру
  23. Проверка срока действия «рутокена эцп 2.0»
  24. Резюме
  25. Рутокен — это программная и аппаратная защита
  26. Рутокен 2.0
  27. Сравнение с «рутокеном s»
  28. Удаление сертификата с «рутокена»
  29. Установка сертификата эцп с «рутокеном»
  30. Установка эцп с флешки на компьютер
  31. Факты
  32. Функциональный ключевой носитель

Основные преимущества фкн

  • Исключена возможность подмены подписи в протоколе обмена, электронная подпись вырабатывается по частям: сначала в ключевом носителе, потом окончательно в программной части CSP.
  • Генерация ключей электронной подписи и ключей согласования, а также создание электронной подписи внутри ФКН.
  • Передача хэш-значения по защищенному каналу, исключающему возможность подмены.
  • После создания контейнера ключ пользователя не хранится ни в ключевом контейнере, ни в памяти криптопровайдера, а также не используются в явном виде в криптографических преобразованиях.
  • Усиленная защита данных при передаче по открытому каналу благодаря использованию взаимной аутентификации ключевого носителя и программной составляющей при помощи оригинального протокола на основе процедуры EKE (electronic key exchange). При этом передается не PIN-код, а точка на эллиптической кривой.
  • Повышенная конфиденциальность закрытых ключей.
  • Ключ может быть сгенерирован ФКН или загружаться извне.
  • Выполнение криптографических операций на эллиптических кривых непосредственно ключевым носителем, поддержка российской электронной подписи.

Основные моменты работы с «рутокеном эцп 2.0»

Главные функции устройства – хранение и применение электронной подписи.

Она состоит из таких элементов:

  1. Личного (секретного) и открытого ключей. Первый хранится у пользователя, передавать его другим лицам нельзя. Второй позволяет проверить подлинность подписи, передается по открытым каналам.
  2. Сертификата (удостоверения). Он привязывает к открытому коду данные владельца, что исключает его перехват злоумышленниками для последующего использования в личных целях.

Заверение документа электронной подписью дает такой результат:

  • отправитель подтверждает свое авторство;
  • внесение изменений невозможно.

ЭЦП выдают удостоверяющие центры.

Чтобы ее применить, нужно установить на компьютер специальную программу. В случае с «Рутокеном» это «КриптоПро CSP».

На что обратить внимание при выборе носителя ключа эцп

Выбирая носитель ключа электронной подписи, нужно убедиться в том, что у производителя или официального дилера имеется лицензия на выпуск и продажу устройства. Покупают Рутокен, исходя из области его применения: если он предназначен для работы в частной фирме со служебной информацией или с государственными органами, то лучше выбрать сертифицированный токен с комплектом драйверов и дополнительных утилит. USB-устройство должна обязательно сопровождать эксплуатационная информация.

Если пользователь предполагает использовать Рутокен для хранения нескольких сертификатов, то лучше выбрать накопитель с большим объемом памяти. Модели с пометкой «‎ЭЦП» отличаются встроенной криптографией и не требуют дополнительной установки криптопровайдера.

Covid-19 и росреестр

Пандемия нехорошим образом сказалась на возможности работы с РосРеестром. Не знаю как других регионах, но в Питере случилась прямо какая-то вакханалия. С одной стороны, МФЦ полностью перешли на работу по предварительной записи (сейчас вышли, но по услугам РосРеестра продолжают оставаться).

С другой стороны, записаться на это стало возможным только в первые минуты начала дня после 9:00 и где-то на 2-3 недели вперед. СМИ сообщали, что риелторы бронировали всё под себя, а потом продавали свою очередь — но так как запись была именная, то помимо покупки очереди приходилось ещё и оформлять доверку на такого дельца, потому что кроме него никто пойти по очереди не мог.

Альтернативой этому стали нотариусы, которые могут в электронном виде отправлять документы на регистрацию сделки в Росреестр, но они берут очень дорого за нотариальное удостоверение сделки. Другая альтернатива — ДомКлик от Сбербанка: если покупатель покупает в ипотеку, то ДомКлик позволяет зарегистрировать всё электронно (даже с небольшой выгодой по процентной ставке).

Покупатель нашелся по ипотеке, и дружно решили оформляться через ДомКлик. Но не тут-то было. Недвижимость оказалась старой, и регистрация прав была осуществлена в 1995 году. Если вы регистрировали свои права до 31.01.1998, то нужно:

Однако ДомКлик такие заявления подавать не умеет. Нотариусы тоже за это не берутся по неизвестным мне причинам, которые я не выяснял. Сделка оказалась под угрозой, так как МФЦ предложил запись аж на 23 сентября.

И тут выхожу я весь в белом и говорю: «А давайте сделаем это в электронном виде сами?»

Безопасность использования usb-токенов

Чтобы обеспечить безопасную работу с токенами, нужно придерживаться следующих правил:

  • покупать устройство у официальных поставщиков;
  • получать сертификат ЭЦП в удостоверяющем центре, имеющем действующую аккредитацию Минкомсвязи РФ;
  • обеспечить необходимый уровень личной информационной грамотности (для себя и сотрудников фирмы).

Необходимо также иметь надежные средства защиты информации, устанавливающие подлинность владельца подписи или лица, получающего доступ к данным. Аутентификация предполагает, что в процессе криптографических исчислений получатель информации будет уверен в личности отправителя.

Возможные проблемы с эцп на «рутокене»

Программа «КриптоПро» может не увидеть на «Рутокене» или ином носителе файлы закрытого ключа (он имеет расширение *.key). Это значит, что их записали в корневой каталог или во вложенную папку. Чтобы исправить ошибку, переместите файлы в папку первого уровня.

Если при попытке воспользоваться подписью появляется сообщение «На носителе Рутокен ЭЦП не найдено ни одного сертификата», причиной могут быть:

  • некорректная работа драйвера;
  • повреждение токена;
  • сбой в программной части ПК.

В первом случае проблему решают переустановкой утилиты, во втором – покупкой нового носителя, в третьем – заменой операционной системы.

Драйверы и инструкции рутокен ру

Перед началом работы с ЦП требуется произвести настройку программных продуктов. В частности, для корректной работы токена необходимо установить на компьютер соответствующие драйверы.

Драйвер — это разновидность программного обеспечения, позволяющего компьютеру синхронизировать работу с каким-либо внешним устройством. Чтобы устройство могло корректно работать на компьютере или ином оборудовании, потребуется установка соответствующего ПО.

На сайте Рутокен ру представлены все необходимые программы и инструкции по их установке. Драйверы отличаются в зависимости от операционной системы, которая используется на компьютере. Они подразделяются на установочные файлы для Windows (х64 и х86), MacOS.

Изменения в законодательстве


Начать, пожалуй, стоит с того, что в прошлом году отменили обязательное нотариальное удостоверение сделки, если имеется общая долевая собственность

и

все владельцы долей участвуют в сделке. Безусловно — это позитив, ибо нотариусы совсем охренели — этих ребят стоит держаться подальше при возможности.

После череды скандалов(раз, два, три), прокатившихся в 2022 году, связанных с регистрацией прав на недвижимость и создания ЮЛ с использованием электронной подписи, были приняты некоторые изменения в законе. Вкратце: теперь по дефолту использовать ЭП для сделок по недвижимости можно только в том случае, если сертификат ЭП выдан удостоверяющим центром Росреестра, а точнее его дочки — ФГБУ «Кадастровая палата».

Читайте также:  В криптопро сертификате есть ошибки

Вы можете этот дефолт отменить, явно указав, что хотите это делать с сертификатом любого УЦ. Однако, для этого вам необходимо подать заявление в Росреестр через МФЦ, а для этого предварительно записаться на 2-3 недели вперед (смотри выше) — то есть никакого выигрыша по времени.

Что ж? УЦ Росреестра оказывается единственной альтернативой. Начинаем изучать. УЦ располагается по ссылке. Нажимаем «Сколько стоит?». 2200 рублей с записью на токен. 700 рублей — Предоставляется в электронном виде личность удостоверяется в офисе. Опаньки!

В электронном виде, это означает, что работают по схеме с запросом на сертификат. То есть можно самым правильным способом сгенерировать пару у себя на рабочем месте, отправить им запрос, а в офисе только пройти процедуру удостоверения личности — то чем и должен заниматься УЦ.

Регистрируемся, заводим все данные в профиль. Жмем «Отправить запрос». Сайт делает автоматическую диагностику установленного ПО: всё удовлетворяет необходимым требованиям, т.к. используются только общепринятые плагины к браузеру, а не так как у Тензора.

Генерируем пару в режиме ФКН на нашем новом Рутокен ЭЦП 2.0 3000. Ждем. Через несколько минут приходят на электронную почту письма о дальнейших действия. Сказано, ждать документа на оплату. Где-то через полчаса приходит квитанция на оплату с QR-кодом.

Платеж в бюджет, поэтому используется УИН. Оплачиваем 700 рублей через онлайн-банк. Ещё через 20 минут, заявка переходит в состояние оплачено. Связка Банк<->ГИС ГМП<->Росреестр работает быстрее чем платежи по реквизитам счета, но конкретная скорость может зависеть от выбранного банка.

Звоним по указанному в письме телефону для записи на время для удостоверения личности — номерки есть даже на сегодня. Бегом в офис кадастровой палаты. И вот результат — в 14:00 этим вопросом озадачились. В 16:00 прошли процедуру удостоверения личности и пока ехали домой, выпустились сертификаты.

Инструкция по настройке «рутокена»

Установку и настройку носителя производят в таком порядке:

Как купить токен

Чтобы приобрести USB-носитель нужно обратиться на Единый портал Электронной подписи и оформить заявку. При отправлении запроса будущий владелец соглашается с условиями договора оферты на поставку токена. На портале можно купить сертифицированное устройство для работы на российском и белорусском рынке, для ЭДО, сдачи отчетности, участия в торгах и т.д.

Клиенты Центра получают полное сопровождение сделки, включающее:

  • первичную консультацию;
  • оформление документов;
  • подбор сертифицированного устройства;
  • отправку продукта клиенту.

Все документы оформляются в соответствии с требованиями Федеральных законов РФ. Оригиналы высылаются на почтовый адрес, указанный в заявке, а копии — на электронную почту. Сроки доставки зависят от региона и составляют от 1 до 5 рабочих дней.

Рутокен — это надежной цифровое устройство, предназначенное для хранения закрытого ключа ЭЦП. Различаются токены функциями, объемом памяти, возможностью использования с мобильными устройствами и криптографическими опциями. Приобретая Рутокен, пользователь должен исходить из его последующего использования и необходимого объема памяти.

Самые простые накопители предназначены лишь для работы с ЕГАИС, а токены PINPad могут использоваться даже в работе государственных структур. Приобретая носитель, пользователь берет на себя ответственность за его хранение и правильную эксплуатацию. Для покупки необходимо обращаться в сертифицированные центры и требовать все сопровождающие документы.

Как перенести контейнер на «рутокен»

Перенос тоже выполняют с помощью программы «КриптоПро CSP»:

  1. Вставляют носитель в разъем компьютера.
  2. Переходят во вкладку «Сервис» и нажимают на кнопку «Скопировать».
  3. В появившемся окне кликают по надписи «Обзор» и находят нужный контейнер.
  4. Нажимают «Далее» и вводят ПИН-код.
  5. Набирают имя для копии контейнера.
  6. Указывают «Рутокен» в качестве пункта назначения.
  7. Вводят пароль для доступа к нему.

Перенос завершен.

Как скопировать эцп на флешку

В случае повреждения токена, а также для передачи другому лицу подпись дублируют на флеш-карту.

Порядок действий:

  1. Вставляют оба USB-устройства в компьютер.
  2. Открывают «КриптоПро» и переходят во вкладку «Сервис».
  3. Последовательно нажимают кнопки «Скопировать» и «Обзор». В открывшемся диалоговом окне указывают путь к сертификату.
  4. Вводят пароль и название копии.
  5. Несколько раз нажав кнопку «Далее» и затем «Готово», выбирают в открывшемся окне флеш-карту.
  6. Задают пароль для копии.

Если подписывать документы приходится часто, делать это с помощью токена или флеш-карты становится неудобно. ЭП копируют в реестр Windows.

Действуют в той же последовательности, что и в случае с флеш-накопителем. Только в последнем окне пунктом назначения вместо сменного носителя указывают «Реестр».

Этот способ неудобен, если подписью пользуются несколько человек. Кроме того, после поломки жесткого диска или переустановки операционной системы выпуск сертификата придется повторить.

Как установить сертификат эцп

Есть несколько способов установки сертификата.

В первом случае поступают так:

  1. Нажимают «Пуск» – «Панель управления» – «Панель управления Rutoken».
  2. Переходят во вкладку «Сертификаты».
  3. Напротив нужной записи устанавливают флажок «Зарегистрирован». Удостоверение появляется в хранилище «Личное» на ПК. Инсталляция завершена.
  4. Чтобы удалить удостоверение, снимают галочку.

Перед тем как установить сертификат ЭЦП на компьютер этим способом, убедитесь, что он имеется в контейнере на «Рутокене», иначе в «Панели управления» отобразится пустая ключевая пара без удостоверения.

Какой токен выбрать для вашего бизнеса

В современном мире электронная подпись (сокращенно – ЭП) активно задействована в бизнес-процессах. Электронный документооборот внутри компании и за ее пределами, взаимодействие с госорганами, электронная переписка, обмен файлами и подписание транзакций в системе дистанционного банковского обслуживания — это далеко не полный список процессов, где электронная подпись подтверждает авторство документа, его неизменность и оригинальность содержания.

Картинки

Если вы используете КриптоПро 5-й версии, то поддержка идет из коробки. Отличия для пользователя минимальны. Создание ключевого контейнера:

В отличие от тупого носителя у вас теперь есть выбор в каком режиме вырабатывать ключевую пару. Верхний — новый режим ФКН, внизу старый режим Рутокен ЭЦП 2.0 с поддержкой PKCS#11, посередине — режим тупого токена, в котором всю работу делает криптопровайдер.

При создании первого контейнера в режиме ФКН КриптоПро попросит задать PUK-код и пароль:

В результате получим ключевую пару, которую можно посмотреть через Панель управления Рутокен:

Копирование через «криптопро»

Во втором случае используют программу «КриптоПро»:

  1. Запускают ее и переходят во вкладку «Сервис».
  2. Выбирают пункт «Установить личный сертификат» и в открывшемся окне «Мастера» нажимают кнопку «Далее».
  3. Кликают по надписи «Обзор» и указывают путь к файлу сертификата.
  4. Продолжая следовать инструкциям «Мастера», задают местонахождение контейнера закрытого ключа и выбирают хранилище «Личные».
  5. Завершают установку нажатием кнопки «Готово».

Копирование эп из реестра

Если стандартными способами скопировать подпись не удалось, ее извлекают из реестра.

Читайте также:  Как правильно сделать подпись в электронной почте

Адрес нужной ветки зависит от разрядности Windows:

Порядок действий:

  1. Находят папку по указанному адресу и кликают по ней правой кнопкой.
  2. В открывшемся контекстном меню выбирают пункт «Экспортировать».
  3. Набирают имя файла и кликают по надписи «Сохранить».
  4. Стандартным способом копируют полученный файл с расширением *.reg на винчестер.
  5. Открывают его приложением «Блокнот».
  6. В третьей строчке находят SID пользователя Windows (идентификатор безопасности) и меняют его на нужный.
  7. Если производится перенос из 32-разрядной Windows в 64-битную, после Software вписывают Wow6432Node.
  8. Сохраняют изменения и закрывают «Блокнот».
  9. Кликают правой кнопкой по файлу реестра и выбирают в контекстном меню «Слияние».

В результате данные о контейнере попадают в реестр.

Пользователю остается установить личный сертификат с помощью программы «КриптоПро CSP» вручную.

Назначение

СКЗИ КриптоПро Рутокен CSP предназначено для использования в российских системах PKI, в системах юридически значимого электронного документооборота и в других информационных системах, использующих технологии цифровой подписи. В том числе:

  • в системах клиент-банк при подписи платежных поручений;
  • в системах защищенного документооборота;
  • в системах сбора отчетности для предоставления в электронном виде;
  • в органах власти и управления на федеральном и региональном уровнях;
  • во всех других случаях, где необходимо обеспечить повышенную защиту ключей пользователя.

Обновление росреестра по части проведения электронных сделок

мы рассматривали оформление сделок с помощью

(не доступен в момент написания). Вначале я решил пойти по проторенной тропе, но очень быстро упёрся в то, что введенный кадастровый номер помещения не валидируется, хотя введен абсолютно правильно. Анализ HTML-кода показал, что в валидатор вставлен костыль, который отвергает большинство кадастровых номеров по первой группе цифр, которая обозначает регион.

Однако я быстро вспомнил, что аналогичный функционал, но с другим интерфейсом был представлен в личном кабинете гражданина в Росреестре (авторизация через ЕСИА), который мне не удалось протестить в прошлой статье. Сходил туда и беглый осмотр показал, что для Питера никаких ограничений нет. Значит будем делать так.

Переходим на вкладку «Услуги и сервисы» и выбираем нужную услугу:

Далее нас ждет несколько шагов по заполнению заявления (в зависимости от выбранной услуги):

На первом шаге необходимо просто согласиться и поставить галочку.

Далее, к сожалению, скриншоты не публикую, так как в них содержится много персональных данных.

На втором шаге необходимо проверить и заполнить данные заявителя. Данные подтягиваются из ЕСИА, но если у вас профиль заполнен не полностью, то что-то придется дописать. Также Росреестр плохо подтягивает из ЕСИА адреса проживания и регистрации — скорее всего вам придется указать их вручную.

На третьем шаге указываются (в данном случае) данные о собственности (реквизиты помещения, доли и т.д.).

Четвертый шаг самый сложный. Тут необходимо загрузить все документы. Начиная со сканов паспорта, которые каждый заявитель заверяет своей электронной подписью, заканчивая договорами и прочими документами, которые должны заверяться электронными подписями тех, кто их подписывает.

Например, договор, должен быть подписан всеми сторонами сделки. Кроме того, может понадобиться документ, который у вас есть только в бумажном виде или от стороны, которая в сделке не участвует — например, согласие супруга. Тут можно прибегнуть к нотариусу — нотариусы умеют сканить документы и своей электронной подписью подписывать сканы и факт того, что получившийся электронный документ полностью тождественен документу на бумажном носителе.

Для подписи одного документа несколькими электронными подписями так, чтобы все подписи попали в один файл (Росреестр не поддерживает возможность указать несколько файлов с подписями, которые относятся к одному документу), в каментах к прошлому посту рекомендовали использовать бесплатную утилиту Криптолайн фирмы Такском. Действительно, утилита — огонь, хоть интерфейс и чудаковат.

На последнем (пятом) шаге, вам предстоит повторно проверить состав поданного заявления, подписать его и отправить. Перед отправкой вас спросят о желании составить второе заявление в этом же пакете документов. Если вы регистрируете сделку (переход прав), а не просто регистрацию прав, то это необходимо сделать.

Ответственность пользователя

Во время производства на каждый токен устанавливается стандартный пароль — 1234567890. Перед использованием пользователь вводит этот код, после чего обязательно меняет пароль на личный. Это позволит обеспечить безопасное использование носителя ключей ЭЦП и защитить ПК от сторонних проникновений.

Пользователь также обязан хранить токен в надежном месте и обеспечить его сохранность от внешних повреждений.

Ответственность производителя

Производитель USB-носителя отвечает за отсутствие на токене функций, которые способны нанести вред его владельцу. Для этого каждое из устройств должно иметь сертификат ФСБ и ФСТЭК (Федеральной службы по техническому и экспортному контролю).

Сертификат ФСТЭК является подтверждением того, что:

  • в программе отсутствуют недекларированные возможности;
  • устройство обеспечивает защиту данных от стороннего доступа;
  • устройство обеспечивает хранение информации и аутентификацию.

ФСБ РФ проводит сертификацию криптографических средств защиты информации. Наличие сертификата является подтверждением, что носитель закрытого ключа можно применять для генерации ЭЦП, подписания и проверки подписи, шифрования данных.

Официальный сайт рутокен ру

Официальный сайт Рутокен ру содержит полные сведения об используемых технологиях и методах реализации алгоритмов. Для пользователей ЭЦП Рутокен на сайте представлена информация об аккредитации удостоверяющих центров Министерством связи РФ.

Кроме того, на официальном сайте представлены сертификаты о соответствии алгоритмов Рутокен федеральным ГОСТам.

Проверка срока действия «рутокена эцп 2.0»

Чтобы выяснить конечную дату действия подписи, делают так:

  1. В программе «КриптоПро CSP» во вкладке «Сервис» щелкают по кнопке «Посмотреть сертификаты в контейнере».
  2. С помощью функции «Обзор» находят нужную запись.
  3. Последовательно нажимают кнопки «ОК» и «Далее».

Отображается окно с информацией об ЭП, в т.ч. сроке ее действия.

Другой способ предусматривает использование браузера Internet Explorer:

  1. Переходят в раздел «Сервис» (см. изображение шестерни справа вверху).
  2. Выбирают пункт «Свойства браузера» и в нем – «Содержание».
  3. Кликают по кнопке «Сертификаты».
  4. Во вкладке «Личные» находят нужное удостоверение.

Рядом отображается срок его действия.

Резюме

Рутокен ЭЦП 2.0 3000 стал для меня долгожданной заменой для ранее использованного функционального ключевого носителя из АПК КриптоПро Рутокен CSP 3.6, который умел только старые ГОСТы. Тем не менее, я очень расстраиваюсь, что для работы с этим всем добром приходится держать виртуалку с виндой.

Рутокен — это программная и аппаратная защита

Электронный документооборот распространен повсеместно и невозможен без строгого соблюдения условий конфиденциальности, информационной безопасности и криптографического шифрования. Рутокен это обеспечивает за счет использования специальных программных и аппаратных средств.

Устройства Рутокен — это средства аутентификации пользователей, а также хранения и использования ключей цифровой подписи.

Защищенность данных должна быть обеспечена любой информационной системой в соответствии с требованиями действующего законодательства. Так, ФЗ-152 «О персональных данных» обязывает всех пользователей персональных данных обеспечивать их сохранность и неприкосновенность.

Рутокен 2.0

Рутокен 2.0 — это USB-токен, поддерживающий новые российские стандарты безопасности. Эти стандарты предусмотрены ГОСТами 34.11-2022, 34.10-2022 и VKO ГОСТ P 34.10-2022 (RFC 7836). Специфика новых стандартов состоит в повышенных требованиях к обеспечению безопасности. Кроме того, Рутокен 2.0 поддерживает и основные международные протоколы по контролю защищенности сведений.

Читайте также:  Как создать простую электронную подпись для образовательной организации? — СКБ Контур

В частности, реализована возможность выполнять криптографические операции так, чтобы закрытая информация о ключах не покидала пределы внешнего носителя. Так исключается возможность подделки и компрометации конфиденциальных сведений.

Этот USB-токен выполняет операции шифрования с большей скоростью, чем предыдущие версии. Функционал токена предполагает безопасную двухфакторную аутентификацию пользователей с возможностью генерации и хранения шифровальных кодов и ключей на самом внешнем носителе.

Рутокен 2.0 имеет сертификат Федеральной службы безопасности, как средство цифровой подписи и криптографической защиты информации.

Использование этого токена необходимо при работе в ряде федеральных информационных систем (например, ЕГАИС), работающих с инфраструктурой открытых ключей.

Сравнение с «рутокеном s»

«Рутокен С» – это еще одна серия носителей от компании «Актив». Отличие от рассматриваемой линейки состоит в том, что для работы с устройством нужно устанавливать драйвер. «Рутокен ЭЦП 2.0» в этом не нуждается: носители данного типа используют штатный модуль CCID ОС Windows Vista и более новых версий. На старые операционные системы, например Windows XP, расширение CCID устанавливают отдельно.

«Рутокен С» – самая надежная и дорогая разновидность токенов и смарт-карт. Носители отвечают наиболее строгим критериям безопасности, установленным стандартами РФ, и в основном используются в государственных корпорациях.

Сфера применения «Рутокена ЭЦП 2.0» – цифровые системы оборота документов, удаленный банкинг, ЕГАИС.

Удаление сертификата с «рутокена»

Устаревший сертификат деинсталлируют в таком порядке:

  1. Нажимают кнопку «Пуск» и переходят в «Панель управления».
  2. Выбирают «Панель управления Рутокена».
  3. Переходят во вкладку «Сертификаты».
  4. Ставят флажок напротив нужной записи и щелкают по кнопке «Удалить».

Установка сертификата эцп с «рутокеном»

Инсталлировать удостоверение можно и через команду «Посмотреть сертификаты в контейнере» во вкладке «Сервис» программы «КриптоПро».

После ее запуска делают следующее:

  1. Щелкают по кнопке «Обзор» и указывают путь к сертификату.
  2. Выбирают пункты «Далее» – «Установить» или «Свойства» – «Установить сертификат» (зависит от версии «КриптоПро CSP»).
  3. Последовательно жмут на надписи «Далее» и «Готово».

Перед тем как скопировать ЭЦП этим способом, убедитесь в наличии контейнера с сертификатом на токене, иначе «КриптоПро CSP» выдаст сообщение об отсутствии открытого ключа в контейнере закрытого кода.

Установка эцп с флешки на компьютер

Инсталляцию подписи с флеш-накопителя производят так:

  1. Вставляют устройство в USB-разъем ПК.
  2. Запускают программу «КриптоПро CSP».
  3. Переходят во вкладку «Оборудование».
  4. Кликают по кнопке «Настроить считыватели».
  5. Выбирают пункт «Все считыватели смарт-карт».

После этого подпись появляется в компьютере.

Если окно с выбором считывателя не отобразилось, поступают так:

  1. Открывают пункт «Настройки считывателей».
  2. Кликают по надписи «Добавить».
  3. Щелкают по кнопке «Далее».
  4. В открывшемся окне выбирают «Все производители» и затем кликают по надписи «Далее».

Факты

Новый токен под старым брендом. Вроде какая-то добавка 3000 в конце и вообще не понятно о чем это. А между тем перед нами принципиально новый носитель ключевой информации. С классическим Рутокен ЭЦП 2.0 его объединяет пожалуй лишь то, что он может быть с ним совместим, и по прежнему на нём можно хранить неизвлекамые закрытые ключи, криптографические операции с которыми происходят прямо в контроллере девайса, а закрытые ключи никогда не покидают его пределов.

А в чем же разница? Пожалуй, отличия четыре:

  1. Это функциональный ключевой носитель (ФКН), работающий по протоколу (на самом деле метапротоколу) SESPAKE, что дает нам защиту канала между драйвером и контроллером от прослушивания
  2. Многократное ускорение при работе с токеном, на котором есть несколько ключей с сертификатами
  3. Невозможность работы в режиме ФКН через PKCS#11
  4. Отсутствие режима работы без КриптоПро


Давайте теперь по порядку.

ФКН с SESPAKE дает возможность защитить канал обмена между драйвером/криптопровайдером и контроллером хранилища. Раньше подобный перехват был возможен, и любой любитель Wireshark с установленным USBcap мог лицезреть открытые PIN-коды при работе с классическим Рутокен ЭЦП 2.

0, которые транслируются в APDU командах контролера, что потенциально даёт вектор атаки по подслушиванию PIN’а и дальнейшему подписыванию всего и вся без взаимодействия с пользователем. И хотя формально закрытые ключи всё равно остаются неизвлекаемыми, это может перестать быть принципиальным моментом.

Ускорение. Уж не знаю как и почему, но если у вас было несколько сертификатов на одном токене Рутокен ЭЦП 2.0, то тормоза были обеспечены. Особенно при попытке софта перебрать все сертификаты или найти контейнер с нужным. Ваш покорный слуга хватал лично ситуации, когда в некоторых системах ЭДО дешифрация маленького документа занимала более минуты.

Всё кончилось тем, что Тензор в своих плагинах даже запретил использование аппаратных токенов совместно с КриптоПро 5-й версии, чем вызвал много подозрений. Теперь всё не так, я даже не замечаю разницы между тем, когда на токене был один сертификат, и теперь, когда их четыре (Тензор при этом всё равно не работает с аппаратными ключами в версиях плагинов где-то с осени 2022 года).

Режим PKCS#11 — это возможность использовать библиотеку производителя, которая реализует стандартное API PKCS#11 по работе с ним (напрямую без КриптоПровайдера). Под Windows применяется мало, т.к. Windows Crypto API является доминирующим способом. Под Linux похоже увы, если не брать гипотетическую возможность установить КриптоПро под Linux и использовать его.

КриптоПро под Linux представляет собой по сути реализацию Windows Crypto API, то есть ни одна традиционная софтина под Linux это не поддерживала и не будет поддерживать. Скорее это возможность для разработчиков пилить госзаказ и разрабатывать соответствующие серверные продукты под Linux с возможность криптографии ГОСТ.

О применении в Linux Desktop речи не идет. Тем не менее Рутокен поставляет свою библиотеку PKCS#11 для старого Рутокен ЭЦП 2.0 и мне даже удавалось как-то подружить её с плагином ГосУслуг для аутентификации по электронной подписи. С ФКН возможности такой, как я понимаю нет, но возможно компания Актив меня поправит.

Отсутствие режима работы без КриптоПро. Скорее всего это связано с предыдущим пунктом. Но на практике сложилась некоторая путаница при использовании Рутокен ЭЦП 2.0. Почему-то мало кто знает, что Рутокен ЭЦП 2.0 умеет прекрасно работать с КриптоПро 5-й версии.

Возможно, из-за того, что он появился задолго до КриптоПро 5. В результате, различные участники рынка наработали кастомные решения, которые позволяют работать с Рутокен ЭЦП 2.0 без КриптоПро. Это приводило к достаточно серьезным трудностям в диагностике проблем на сайтах.

Функциональный ключевой носитель

Архитектура ФКН реализует принципиально новый подход к обеспечению безопасного использования ключевой информации, которая хранится на аппаратном носителе.

Кроме формирования электронной подписи и генерации ключей шифрования непосредственно в микропроцессоре, ключевой носитель позволяет эффективно противостоять атакам, связанным с подменой хэш-значения или подписи в канале связи.

Оцените статью
ЭЦП Эксперт
Добавить комментарий

© 2023 ЭЦП Эксперт